← Blog

Las mejores herramientas para analizar tus informes DMARC

Por Thomas · CISO virtual · 2026-07-16

Recibir informes DMARC es una cosa. Aprovecharlos es otra. Un informe RUA en bruto es un XML comprimido que tienes que descomprimir, leer e interpretar, y potencialmente recibirás decenas al día (uno por cada proveedor de correo y por cada dominio). Sin una herramienta, la cosa se vuelve rápidamente inmanejable. Esta guía repasa las categorías de herramientas disponibles, sus ventajas y cómo elegir según tu contexto.

Por qué necesitas una herramienta

Un informe DMARC de Google para un solo día puede contener 30 bloques <record> distintos, cada uno de los cuales representa una IP de origen y un resultado de autenticación. Multiplicado por 5 dominios × 8 proveedores de correo que envían informes, obtienes potencialmente 1200 bloques al día que leer. Manualmente, son varias horas de trabajo. Con una herramienta, es un panel de control que se actualiza automáticamente.

Las herramientas DMARC cumplen varias funciones:

  • Análisis automático (parsing): descomprimir, analizar e indexar los ficheros XML.
  • Agregación: consolidar los informes de todos los proveedores de correo a lo largo de un periodo.
  • Enriquecimiento de IP: identificar a qué corresponde una IP (Microsoft 365, Mailchimp, un proveedor de nube…).
  • Alertas: avisarte si aparece una nueva fuente desconocida o si emerge un volumen sospechoso.
  • Visualización: paneles, gráficas, mapas geográficos.

Las grandes categorías

Plataformas SaaS dedicadas a DMARC

Es la categoría más completa. Servicios como DMARC.com (nuestra herramienta, con Thomas como copiloto), Valimail, Dmarcian, EasyDMARC o PowerDMARC reciben tus informes directamente (configuras tu rua= en ellos), los analizan y te presentan un panel de control. La mayoría ofrece un plan gratuito limitado y planes de pago para grandes volúmenes o funciones avanzadas. La gran ventaja: todo se gestiona por ti, incluida la recepción, el almacenamiento y el enriquecimiento. La tarifa varía según el número de dominios y el volumen de mensajes.

Herramientas en línea gratuitas (puntuales)

Para analizar un informe aislado sin configurar una plataforma, hay herramientas en línea que permiten subir un fichero XML y verlo en una representación legible. Está bien para depurar un informe concreto o entender el formato, no para un seguimiento continuo.

Soluciones autoalojadas (open source)

Para las organizaciones que quieren conservar sus datos internamente, hay soluciones open source que permiten desplegar tu propio analizador y panel DMARC. Esta opción exige más trabajo técnico (despliegue, mantenimiento) pero mantiene tus informes en tu casa, lo que puede ser un requisito si manejas datos sensibles o si una política de seguridad prohíbe los servicios en la nube.

SIEM y herramientas existentes

Si ya tienes un SIEM (Security Information and Event Management) como Elastic, Splunk o Azure Sentinel, es posible inyectar en él los datos DMARC mediante un analizador. Es una integración más compleja, pero coloca los informes DMARC dentro de tu contexto de seguridad existente, útil si quieres correlacionar fallos DMARC con otras señales de seguridad.

Cómo elegir

Para la mayoría de las pymes y startups, una plataforma SaaS es la buena elección: rápida de arrancar, poco mantenimiento, y la relación calidad/precio es buena en los planes gratuitos. Si gestionas varias decenas de dominios o si el cumplimiento normativo es crítico, se justifica una herramienta de pago con alertas y un histórico largo.

Para una gran organización con restricciones de confidencialidad de los datos, puede imponerse una solución autoalojada. Para un uso ocasional o una auditoría puntual, basta con una herramienta en línea puntual.

El criterio más importante: ¿la herramienta identifica mis fuentes? Un informe en bruto te dice que 347 mensajes pasaron desde 40.107.1.25. Una buena herramienta te dice que es Microsoft Exchange Online Protection, lo que lo cambia todo en cuanto a la acción a tomar.

Lo que añade DMARC.com

Nuestro analizador hace más que analizar XML. Con Thomas, tu CISO virtual, obtienes no solo la lectura de los informes, sino un diagnóstico: qué fuentes hay que corregir, en qué orden y por qué. El análisis cruza los resultados de autenticación con la identidad de los remitentes (ASN, nombre de la organización, país) para darte un plan de acción, no solo una visualización.

Entre los detalles que marcan la diferencia: Thomas identifica las fuentes que firman en DKIM con el dominio equivocado (firma válida pero no alineada), las fuentes SPF que pasan para el sobre pero no para el From:, y las IP desconocidas que merecen investigación.

Preguntas frecuentes

¿La herramienta debe recibir mis informes directamente? La mayoría de las plataformas SaaS proponen configurar tu rua= en ellas para recibir directamente los informes. Si prefieres conservar tus informes en tu casa, busca herramientas que permitan la subida manual o el sondeo (polling) de un buzón IMAP.

¿Bastan las herramientas gratuitas? Para empezar y para un volumen bajo de dominios, sí. Los límites habituales: histórico corto (7-30 días), número de dominios limitado, sin alertas. Para un seguimiento profesional a largo plazo, se justifica un plan de pago.

¿Contienen mis informes datos sensibles? Los informes RUA (agregados) no contienen datos personales de los destinatarios, únicamente IP y estadísticas. Es prácticamente neutro respecto al RGPD. Los informes RUF (forenses) pueden contener encabezados de mensajes sensibles, algo que hay que comprobar antes de enviarlos a una herramienta de terceros (ver informes forenses y privacidad).

¿Cuánto tiempo conservar los informes? No hay ninguna obligación legal específica sobre los informes DMARC como tales, pero desde una óptica de seguridad, conservar de 90 a 180 días de histórico te permite detectar derivas lentas (una fuente que se degrada progresivamente) y tener una base para comparar antes/después de un cambio de configuración.

¿Puedo usar la dirección rua= dentro de mi propio dominio? Sí, es incluso recomendable para empezar: crea dmarc@ton-domaine.fr o un buzón dedicado, configura el rua= y lee los informes a mano mientras te vas soltando. Después, conecta una plataforma si el volumen se vuelve demasiado alto.

Lo que una buena herramienta debe hacer por ti

Una herramienta DMARC es más que un analizador de XML. Como mínimo, debe darte tres cosas. Primero, la identificación de las fuentes: transformar las IP de tus informes en servicios reconocibles (Microsoft Exchange, Brevo, tu proveedor…). Sin eso, un informe no dice nada accionable. Después, la consolidación: agregar los informes de todos los proveedores de correo en una misma vista, para ver de un vistazo el estado de tus fuentes en la semana en lugar de recorrer decenas de ficheros por separado. Por último, un mecanismo de alerta o de señalización de anomalías: una IP nueva que aparece, un volumen inusual de fallos, una fuente conocida que deja de pasar; todos ellos son eventos que merecen tu atención y que no detectarás si lees los informes una vez a la semana a mano.

Las herramientas más maduras añaden a esto una capa de asesoramiento: además de mostrarte el qué, te dicen qué hacer. Ahí es donde Thomas se distingue de las herramientas puramente visuales: no te da solo un panel de control, transforma los datos en recomendaciones accionables alineadas con el camino de p=none a p=reject.

La integración en tu flujo de trabajo de seguridad

DMARC no es un proyecto puntual, es una monitorización continua. La herramienta que elijas debe, por tanto, integrarse en tu flujo de trabajo existente, no crear un nuevo silo que vigilar. Si ya tienes revisiones de seguridad semanales, la herramienta DMARC debe permitirte aportar un resumen de una página, no un XML de 200 líneas. Si tienes un SIEM o una herramienta de tickets, la herramienta ideal puede enviarles alertas cuando aparece algo anómalo. Y si gestionas varios dominios (filiales, marcas, subdominios activos), la herramienta debe consolidar la vista de todos sin obligarte a cambiar manualmente entre una docena de interfaces.

El criterio último: tras seis meses de uso, ¿te conectas regularmente porque la herramienta te aporta valor, o la has olvidado porque no te avisa cuando algo merece tu atención? Una buena herramienta DMARC, como una buena alarma, se hace olvidar cuando todo va bien y se hace oír cuando algo va mal.

Preguntas frecuentes

¿Una herramienta debe recibir mis informes directamente? La mayoría de las plataformas SaaS piden configurar tu rua= en ellas para recibir directamente los informes. Es la solución más sencilla, pero significa que tus datos de informe se van a un tercero. Si eso es una restricción, busca herramientas que permitan la subida manual o el sondeo IMAP de un buzón que tú controles.

¿Bastan las herramientas gratuitas? Para empezar con uno o dos dominios y poco volumen: sí. Los límites habituales de los planes gratuitos: histórico corto (7-30 días), número de dominios limitado, sin alertas. Para un seguimiento profesional duradero, se justifica un plan de pago en cuanto la visibilidad diaria importa.

¿Puedo usar varias herramientas en paralelo? Sí, puedes poner varias direcciones en rua=. Algunas organizaciones conservan un buzón interno Y usan una plataforma externa: el buzón interno como copia de seguridad, la plataforma para el análisis. La limitación: el volumen de informes se multiplica por el número de direcciones.

¿Puede una herramienta vigilar varios dominios a la vez? Sí, y suele ser un criterio de elección importante. Comprueba los límites de dominios por plan, y si la herramienta ofrece una vista consolidada multidominio. Un incidente en un dominio secundario puede pasar desapercibido si cada dominio se gestiona en un silo distinto.

Deja que Thomas sea tu herramienta

Las herramientas DMARC te dan visibilidad. Thomas, en cambio, te da dirección. La diferencia entre ver que 12 mensajes fallaron desde 192.0.2.1 y saber que es una antigua IP de tu proveedor de marketing que hay que desactivar: es exactamente ese hueco el que Thomas rellena.

Analiza tu dominio gratis → para ver tus fuentes de envío identificadas y tu plan de acción hacia p=reject.

¿Listo para aplicar DMARC?

Thomas, tu CISO virtual, identifica cada fuente de envío legítima, escribe los registros DNS exactos y lleva tu dominio de p=none a p=reject — sin romper tu correo.

Alcanzar p=reject — gratis

Guías relacionadas

Sobre el autor

ThomasThomas es el CISO virtual de DMARC.com: un copiloto especializado en la autenticación de correo que acompaña a las organizaciones de p=none hasta p=reject, sin romper su correo. Sus guías se basan en los datos reales del Observatorio DMARC y de los informes RUA analizados por la plataforma.